Uporabnikom za veljavnost certifikatov ni mar

V študiji, ki so jo izvedli na Carnegie Mellon University in katere podrobne izsledke kanijo javnosti prikazati avgusta na Usenix Security Symposium, so raziskovalci ugotovili, da je zaščita z opozorili pred pretečenimi certifikati slabo uspešna. Opazovali so 409 uporabnikov, ki so v veliki večini pri opozorilu, da je certifikat SSL potekel, enostavno kliknili Prezri. Zanimivo je, da bolj kot so bili uporabniki vešči tehnologije, v večjem deležu so težavo ignorirali.

Smisel certifikatov SSL je uporabniku zagotoviti, da je stran, ki jo obiskuje, avtentična. Res je, da običajno potečejo iz banalnih razlogov, a pretečen certifikat lahko pomeni tudi, da je uporabnik žrtev MITM-napada. Med 50 odstotki uporabnikov, ki so dejansko razumeli, kaj pomeni napaka pretečeni certifikat, se jih 71 odstotkov ni obremenjevalo s tem. Celo 19 odstotkov izmed tistih, ki so vedeli, kaj pomeni neujemanje domene (domain mismatch), se ni vznemirjalo zaradi tega.